none
如何让子域无法登陆父域的机器 RRS feed

  • 问题

  • 我在公司部署了个子域 test.a.com,父域是a.com,现在是父域的账号,可以登陆子域的机器,子域的账号也可以登陆父域的机器。我们想实现,让子域只能登陆子域的机器,无法登陆父域以及其他子域的机器,请问这个要怎么实现呢。
    2019年8月8日 2:23

全部回复

  • 你好,

    谢谢你的提问。

    你的需求可以通过组策略来实现。

    因为父子域之间存在双向信任关系,所以默认是允许父子域之间登陆相互的机器的。

    计算机策略->policies->Windows settings->Security Settings->Local Policies->User Rights Assignment->Deny log on locally

    请按照以下步骤来实现:

    1. 在子域test.a.com上创建一个用户组,该组中包含你不想让其访问父域机器的用户。

    当然你也可以使用“Domain Users”组,改组包含子域中所有的域用户。

    2. 在你的父域DC上打开管理工具中的“组策略管理”管理单元。

    你可以直接在默认域策略上直接编辑或者创建一个新的组策略对象。

    3. 右键,单击编辑已转到策略编辑窗口,然后转到计算机策略->policies->Windows settings->Security Settings->Local Policies->User Rights Assignment->Deny log on locally,双击打开。

    4. 然后打开后,单击“定义这些策略设置”,然后单击“添加用户或组”按钮,将“子域的之前创建的用户组或者domain users组”添加到其中。

    5. 单击“确认”以应用更改。等待组策略生效之后,可以测试一下结果。

    http://www.rebeladmin.com/2014/06/control-logins-in-parent-child-domain-environment-using-group-policies/

    最好的祝福,

    Lee


    Just do it.

    2019年8月8日 3:40
    版主
  • 你好,我在“拒绝本地登陆”策略中,要添加子域上的domain users组的时候,并没有找到该组。但是在子域的“用户和计算机”中,实际上是有该组的,请问这个是什么原因呢
    2019年8月9日 6:19
  • 你好,

    谢谢你的提问。

    请按照以下步骤进行添加子域用户组:

    1. 

    2. 

    3。 然后会跳出来输入凭据,输入完之后,按照具体路径找到相应组就可以了。

    最好的祝福,

    Lee


    Just do it.

    2019年8月9日 7:40
    版主
  • 你好,

    请问您的问题解决了吗? 如果您使用我们的方案解决问题,请“将其标记为答案”,以帮助其他社区成员快速找到有用的回复。 如果您使用自己的方案解决问题,请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员也是非常有帮助的。 如果没有,请回复并告诉我们目前的情况,以提供进一步的帮助。

    Best Regards,

    Lee     


    Just do it.

    2019年9月6日 12:48
    版主